תיקוני מיקרוסופט כלומר אפס יום בתיקון הצעדה ביום שלישי

מיקרוסופט פרסמה חמישה טלאים - שניים מדורגים כ"קריטיים "ושלושה כ"חשובים" - תיקון 23 נקודות תורפה ב- Internet Explorer, Microsoft Windows ו- Silverlight כחלק מעדכון יום שלישי של ה- March. תיקון ה- IE סגר גם את תוקפי הפגיעות של יום אפס שמנצלים מאז פברואר.

התוקפים ניצלו את הפגיעות הקריטית באפס יום (CVE-2014-0322) ב- Internet Explorer 10 בחודש שעבר כחלק ממבצע SnowMan, אשר פגע באתר השייך לוותיקים ממלחמות החוץ האמריקאיות, כמו גם במתקפה אחרת שהתחזתה לצרפתית יצרן תעופה וחלל. תיקון ה- IE (MS14-022) סוגר את הפגם הזה, כמו גם 17 נוספים, כולל כזה אשר שימש בהתקפות ממוקדות מוגבלות נגד Internet Explorer 8 (CVE-2014-0324), Dustin Childs, מנהל קבוצה במיקרוסופט אמין למחשבים., כתב בבלוג של מרכז האבטחה של מיקרוסופט.

"ברור שעדכון ה- IE אמור להיות בעדיפות הגבוהה ביותר שלך, " אמר צ'ילדס.

סוגיות עם Silverlight

התיקון הקריטי האחר פותר פגם ביצוע קריטי מרחוק ב- DirectShow ומשפיע על גירסאות מרובות של Windows. הפגיעות נובעת מניתוח תמונות JPEG על ידי DirectShow, מה שמסביר כי התקפות המנצלות את הפגם הזה יכניסו תמונות זדוניות לדפי אינטרנט שנפרצו או יוטמעו בתוך מסמכים, אמר מארק מאפרפר, סמנכ"ל הכספים של BeyondTrust. ראוי לציין שמשתמשים שרצים עם הרשאות שאינם מנהלי מערכת יושפעו פחות מהתקפות אלה מכיוון שהתוקף יהיה מוגבל בנזק שהוא או היא עלולים לגרום.

מעקף תכונת האבטחה ב- Silverlight מדורג כ"חשוב "אך אמור להיות עדיפות גבוהה למדי. תוקפים יכולים לנצל את הפגם על ידי הפניית משתמשים לאתר זדוני המכיל תוכן Silverlight מעוצב במיוחד, מסרה מיקרוסופט. המסוכן הוא שתוקפים יכולים לעקוף ASLR ו- DEP, שתי טכנולוגיות להפחתת ניצול מובנה ל- Windows על ידי ניצול של פגיעות זו, הזהיר Mafrfret. תוקף יזדקק לניצול משני כדי להשיג ביצוע קוד מרחוק לאחר עקיפה של ASLR ו- DEP בכדי להשיג שליטה במערכת, כמו פגם העוקף של ASLR שנדבק בדצמבר (MS13-106). אף כי כרגע אין פיגועים המנצלים את הפגם הזה בטבע, על המשתמשים לחסום את סילברלייט לפעול ב- Internet Explorer, Firefox ו- Chrome עד להחלת התיקון, אמר Maiffret. חשוב גם לוודא שגם טלאים ישנים יותר נפרסים.

מיקרוסופט צריכה לוותר על סילברלייט מכיוון ש"היא רואה הרבה טלאים בהינתן האימוץ המוגבל שלה ", הציעה טיילר רגולי. מכיוון שמיקרוסופט תמשיך לתמוך בה עד לפחות 2021, ארגונים צריכים להתחיל להתרחק מ- Silverlight כך ש"כולנו נוכל להסיר את התקנת Silverlight ולהגדיל את האבטחה של מערכות משתמש הקצה ביעילות, "הוסיף.

נותרו תיקוני מיקרוסופט

תיקון נוסף שיש להחיל במוקדם ולא במאוחר הוא זה שמתייחס לזוג העלאת נקודות תורפה של הרשאות Windows Driver Driver Driver (MS14-014) מכיוון שהוא משפיע על כל הגירסאות הנתמכות של Windows (לחודש זה, שעדיין כולל את Windows XP). כדי לנצל פגם זה, התוקף "חייב להיות בעל אישורי כניסה תקפים ולהיות מסוגל להיכנס באופן מקומי", הזהירה מיקרוסופט.

התיקון האחרון פותר בעיות בפרוטוקול SAMR (Account Account Manager Manager) שמאפשר לתוקפים להעביר חשבונות Active Directory בכוח ולא להיעלם מהחשבון. התיקון מתקן את קריאת ה- API כך ש- Windows נועל נכון את החשבונות כשמתקפים אותם. "מדיניות הנעילה של סיסמא נעשית באופן ספציפי כדי למנוע ניסיונות כוח אמיץ ולאפשר לתוקף זדוני לעקוף את המדיניות מביסה לחלוטין את ההגנה שהיא מספקת", אמרה רגולי.

עדכוני תוכנה אחרים

זה השבוע לעדכוני מערכת ההפעלה. אפל פרסמה את iOS 7.1 מוקדם יותר השבוע, ו- Adobe עדכנה את נגן הפלאש של Adobe (APSB14-08) כדי לסגור שתי פגיעויות היום. הנושאים אינם מנוצלים כרגע בטבע, אמרה אדובי.

אפל תיקנה כמה בעיות משמעותיות ב- iOS 7, כולל בעיית דיווח על קריסות שעלולה לאפשר למשתמש מקומי לשנות הרשאות על קבצים שרירותיים במכשירים המושפעים, סוגיית גרעין שעלולה לאפשר הפסקת מערכת בלתי צפויה או ביצוע קוד שרירותי בגלעין., ובאג שאיפשר למשתמש לא מורשה לעקוף את דרישות חתימת הקוד במכשירים המושפעים. אפל גם תיקנה באג שעלול לאפשר לתוקף לפתות משתמש להוריד אפליקציה זדונית באמצעות הורדת יישום Enterprise ואחרת שאפשרה לקובץ גיבוי שנוצר בזדון לשנות את מערכת הקבצים של iOS.